Penetrasyon testi için sözleşme gerekir mi?
Cevap açık ve net: Evet. Yazılı bir sözleşme, test sürecinin yasal, şeffaf ve güvenli yürütülmesi için zorunludur. Aşağıda, “neden”, “nasıl” ve “nelere dikkat etmeli” sorularının tamamını tek sayfada bulacaksınız.
Neden Sözleşme Gereklidir?
Siber güvenlik dünyasında penetrasyon testleri, kurumların sistemlerini gerçek dünyadaki tehditlere karşı test ederek güvenlik açıklarını tespit etmenin en etkili yollarından biridir. Ancak bu süreç, yalnızca teknik bilgi ve beceriyle değil, aynı zamanda sağlam bir hukuki altyapıyla yürütülmelidir. Bu noktada sıkça sorulan bir soru ortaya çıkıyor: Penetrasyon testi için sözleşme gerekir mi? Cevap açık ve net: Evet, gerekir. Yazılı bir sözleşme, test sürecinin yasal, şeffaf ve güvenli bir şekilde ilerlemesini sağlar.
Sözleşme; yasal güvence, kapsam netliği, taraf yükümlülükleri, gizlilik ve veri koruma ile zaman-süreç yönetimi gibi başlıklarda iki tarafı da korur ve testin güvenilirliğini artırır.
Penetrasyon Testi Sözleşmesi Hangi Unsurları İçermeli?
- Tarafların Tanımlanması: Hizmet alan kurum ve test firması/ekibi.
- Testin Amacı: Açık tespiti, uyumluluk (ISO 27001, PCI-DSS), eğitim vb.
- Kapsam ve Sınırlar: Web, mobil, ağ, bulut; hariç tutulan alanlar.
- Zamanlama: Başlangıç/bitiş tarihleri, raporlama, acil durum prosedürleri.
- Test Yöntemleri: Black/Grey/White-box.
- Erişim Yetkileri: VPN, fiziksel erişim, kimlik bilgileri.
- Veri Güvenliği & Gizlilik: Saklama, paylaşım, imha kuralları.
- Raporlama Süreci: Format, teslim tarihi, yönetici özeti.
- Risk & Sorumluluklar: Olası etkiler ve sorumluluk dağılımı.
- Anlaşmazlık Çözümü: Uyuşmazlıkta izlenecek hukuki yol.
Sözleşmesiz Testlerin Riskleri Nelerdir?
Sözleşmesiz bir penetrasyon testi; hukuki sorunlar (yasa dışı faaliyet iddiası), veri ihlali riski (hassas verilere erişim), kapsam belirsizliği (kapsam dışı müdahale) ve güven kaybı gibi ciddi riskler taşır. Gerçek bir örnekte, sözlü onayla yapılan testte yaşanan kısa süreli kesinti, yazılı sözleşme olmadığından sorumluluk belirsizliği yaratmış ve süreç mahkemeye taşınmıştır.
Sektörel Farklılıklar ve Sözleşmenin Önemi
- Finans & Bankacılık: PCI-DSS, ISO 27001 referansları kritik.
- E-ticaret: KVKK/GDPR uyumu ve gizlilik maddeleri detaylı olmalı.
- Sağlık: Hasta verisi nedeniyle veri güvenliği ön planda (HIPAA benzeri).
- Kamu: Ulusal siber güvenlik politikaları ve yetkilendirme süreçleri.
İpucu: Sektöre özgü regülasyon ve standartları sözleşme ekinde “Rules of Engagement (RoE)” ve “Data Handling Plan” ile somutlayın.
Uluslararası Uygulamalar ve Standartlar
- ABD: RoE belgeleri kapsam, sınırlar ve kuralları ayrıntılar.
- AB: GDPR kapsamında veri işleyen üçüncü taraflarla işlemler yazılı sözleşmeye dayanmalıdır.
- Türkiye: KVKK ve 5651, veri güvenliği ve test süreçlerinde yazılı anlaşmaların önemini vurgular.
Sözleşme Hazırlarken Nelere Dikkat Edilmeli?
- Hukuki Uzmanlık: KVKK, GDPR ve sektörel regülasyonlara uygunluk için hukukçuyla çalışın.
- Senaryo Bazlı Ekler: Sosyal mühendislik, fiziksel erişim, iç ağ gibi ek maddeler.
- Resmi Onay: İmzalı, tarihli; mümkünse noter onaylı. E-posta/sözlü onay yeterli değildir.
- Açık ve Anlaşılır Dil: Tarafların anlayacağı netlikte yazın.
Bonus: Veri koruma maddelerini şifreleme, saklama süresi, erişim logları, imha prosedürü ve siber sigorta ile güçlendirin.
Sonuç
Penetrasyon testinde yazılı sözleşme şarttır. Yasal güvence sağlar, kapsamı netleştirir, sorumlulukları tanımlar, gizlilik ve veri korumayı güvenceye alır, süreci planlar. Sözleşmesiz testler yüksek hukuki ve operasyonel risk taşır. Sektöre özel gereksinimleri ve uluslararası uygulamaları sözleşmeye yansıtın; açık, anlaşılır ve imzalı bir belgeyle ilerleyin.
